CIO of the Year: hoe belangrijk is security voor de genomineerden?

Denkt u nog na over uw stem voor CIO of the Year? Om u te helpen, laten de drie genomineerden graag wat meer in hun kaarten kijken. Vandaag hebben ze het over hoe ze naar een belangrijk onderwerp als (cyber)security kijken.

Op 26 september maakten we de drie genomineerden voor CIO of the Year 2023 bekend. De redactie koos voor drie CIO’s die de afgelopen jaren volop inzetten op de digitale transformatie van hun organisatie: Herbert Carracillo (Chief Information Officer bij Sibelga), Michal Paprocki (Chief Information Officer bij Euroclear Group) en An Swalens (Chief Information Officer bij Nationale Bank van België). Alle drie hebben ze een stevig mandaat om hun organisatie verder te moderniseren, digitaliseren, optimaliseren en klaar te stomen voor de toekomst. Tot 20 oktober kan u stemmen op uw favoriete kandidaat. Maar misschien kan u nog wat hulp gebruiken? We publiceren een aantal artikels die u een beter idee geven waar de kandidaten voor staan en waarmee ze bezig zijn. Vandaag een antwoord op de vraag: ‘Hoe belangrijk is security?’

An Swalens: ‘Security wordt alleen maar belangrijker’

‘Security is erg belangrijk en wordt alleen maar belangrijker. Dit heeft zeker te maken met onze omgeving en activiteiten – bijvoorbeeld op de financiële markten – en omdat we bijzonder veel belang hechten aan onze reputatie. We hebben een sterk governance & risk framework en al onze activiteiten zijn onderworpen aan uitgebreide regelgeving. We volgen een strikte methodologie voor zowel de operationele als informatierisico’s. Naast de formele governance organiseren we nauwe contacten en besprekingen tussen specialisten van de NBB in verschillende risicogebieden (juridisch, compliance, data, IT) en trusted partners zoals andere centrale banken.’

‘Voor IT-beveiliging investeren we in expertise, processen en geavanceerde technologieën. Onze IT-securitydiensten doen de nodige assessments en controles, waken over de beveiligingsarchitectuur en security by design, en beheren ook alle security. Ons IT-landschap is onderverdeeld in verschillende beveiligingszones, in lijn met onze strategie. In ons IT-risicoprogramma beheren we projecten en initiatieven met duidelijk doelen en metingen voor verbetering. We eisen ook hoge beveiligingsnormen van onze leveranciers.’

‘De menselijke factor is enorm belangrijk bij beveiliging, dus we investeren zowel in het gemakkelijker maken om veilig te zijn (denk aan authenticatie zonder wachtwoord) als in het verspreiden van kennis en bewustzijn (denk aan security champions). En ja, hier horen ook, regelmatige oefeningen en controles bij die onze mensen continu alert moeten houden.’

Herbert Carracillo: ‘Bewustwordingcampagnes zijn essentieel‘

‘Het is niet de vraag of, maar wanneer je als organisatie wordt gehackt. Beveiliging staat daarom centraal bij Sibelga. Elektriciteits- en gasdistributienetwerken worden immers beschouwd als kritieke infrastructuur. Elke verstoring in de werking van deze netwerken kan verstrekkende gevolgen hebben, waaronder risico’s voor de openbare veiligheid en economische gevolgen. Via de diensten die we aan onze klanten leveren, verwerken we ook gevoelige en vertrouwelijke data, waaronder klantgegevens, netconfiguraties en gegevens over energieverbruik. Het beschermen van deze gegevens tegen diefstal, manipulatie of blootstelling is essentieel, ook om te voldoen aan de regelgeving.’

‘Om een hoog beveiligingsniveau te garanderen en cyberbedreigingen te voorkomen, hebben we geïnvesteerd in mensen en technologieën om altijd zicht te krijgen op wat er gaande is in onze infrastructuur maar ook om om proactief te kunnen reageren. Dit omvat een Managed Detection and Response (MDR)-aanpak met voortdurende bewaking van IT-systemen en -netwerken, geavanceerde dreigingsdetectie om risico’s te voorkomen of te minimaliseren en gedragsanalyse om afwijkingen in netwerk en systeem te detecteren.’

‘Maar om het hoogste niveau van IT-security te garanderen, is het essentieel dat we het menselijke aspect aanpakken, omdat dit vaak het favoriete punt is om toegang te krijgen tot onze systemen. Bij 70% van de beveiligingsproblemen zijn werknemers direct betrokken. We doen dat door te investeren in bewustwordingscampagnes. We variëren in onze campagnes van e-mail phishing tot USB-sticks en Microsoft Teams en Whatsapp. Hierdoor bestrijken we het hele spectrum van mogelijke ingangspunten in onze infrastructuur en ons netwerk via onze mensen. Waar nodig vullen we ons IT-beveiligingsteam ook continu aan met extra talent dat nieuwe (analytische) skills binnenbrengt. We werken hiervoor trouwens ook samen met Passwerk.’

Michal Paprocki: ‘Onze investeringen in security beschermen ook het hele ecosysteem‘

‘Al meer dan 55 jaar zijn we een vertrouwde financiële marktinfrastructuur en dat is ons grote kostbare goed. Een deel van dit vertrouwen dat we in de markt hebben opgebouwd is de veiligheid en security die we bieden. Het spreekt dus voor zich dat cyberbeveiliging een belangrijk onderdeel is van onze bedrijfsstrategie. Cyberbeveiliging, business resilience en operationeel risicobeheer zijn allemaal belangrijke onderdelen van onze IT-transformatie.’

‘Het bedreigingslandschap evolueert ook constant met altijd weer veel nieuwe aanvalsvectoren. Bedrijven moeten zich dus wel voortdurend aanpassen en hun verdediging proactief testen – wat we zelf dus ook doen. We hebben het aantal IT-securityfuncties ondertussen al verdubbeld en breiden nog steeds uit. We blijven ook investeren omdat volgens mij onze taak niet alleen isom ons bedrijf te beschermen, maar ook het bredere ecosysteem dat we ondersteunen. Je zou dus kunnen zeggen dat ons werk nooit af is.’